Certyfikat bezpieczeństwa strony

Firefox Firefox Ostatnio zaktualizowany: 2 tygodnie, 1 dzień ago 50% użytkowników uznało to za pomocne

Certyfikaty bezpiecznych witryn internetowych Transport Layer Security (TLS) weryfikują własność i integralność informacji o odwiedzanych stronach internetowych. W tym artykule wyjaśniono, jak to działa.

Jakie witryny internetowe korzystają z certyfikatów?

Witryny internetowe, których adresy zaczynają się od https, korzystają z certyfikatów serwera TLS. Witryny korzystające z certyfikatów serwera TLS zapewniają dwie rzeczy:

  • Administrator witryny jest właścicielem nazwy domeny lub ma nad nią kontrolę, zapewniając, że użytkownicy łączą się z legalną witryną, a nie z fałszywą lub złośliwą kopią witryny.
  • Szyfrowaną wymianę danych za pośrednictwem protokołu TLS pomiędzy przeglądarką a stroną internetową w celu zapewnienia ochrony przed podsłuchem lub manipulacją przez osoby nieautoryzowane.

Łańcuch certyfikatów

Przeglądarki, takie jak Firefox weryfikują certyfikaty poprzez hierarchię zwaną łańcuchem zaufania (ang. chain of trust), który zazwyczaj składa się z co najmniej trzech certyfikatów:

  • Certyfikat główny (trust anchor)
  • Certyfikat pośredni – jeden lub kilka
  • Certyfikat TLS serwera (end entity)
chain-of-trust

Certyfikat główny należy do głównego urzędu certyfikacji (CA) i przeglądarka z natury mu ufa. Zazwyczaj certyfikat główny wydaje jeden lub więcej certyfikatów pośrednich, które są następnie używane do wydawania certyfikatów serwera TLS dla podmiotów, które sprawują kontrolę nad domenami witryn określonymi przez te certyfikaty.

Certyfikaty opierają się na kryptografii klucza publicznego, w której asymetryczna para kluczy ma dwa klucze powiązane matematycznie:

  • Klucz prywatny. Klucz ten jest utrzymywany w tajemnicy przez jego właściciela i służy do operacji kryptograficznych, takich jak podpisywanie danych, w tym certyfikatów, czy odszyfrowywanie informacji zaszyfrowanych kluczem publicznym.
  • Klucz publiczny. Klucz ten jest udostępniany publicznie i służy do weryfikacji podpisów utworzonych kluczem prywatnym lub do szyfrowania informacji, które tylko klucz prywatny może odszyfrować.

Certyfikaty klucza publicznego zawierają następujące informacje:

  • Szczegółowe informacje o urzędzie certyfikacji (CA), który wydał certyfikat,
  • Klucz publiczny należący do organizacji, która otrzymała certyfikat,
  • Dane identyfikacyjne organizacji przechowującej klucz prywatny (patrz Zawartość certyfikatu) poniżej. W przypadku certyfikatów serwera TLS jest to przede wszystkim nazwa domeny witryny internetowej.

Teraz możemy opisać, w jaki sposób Firefox określa, czy witryna jest bezpieczna.

Jak Firefox sprawdza integralność certyfikatu?

Oto jak Firefox wykorzystuje łańcuch certyfikatów do weryfikacji certyfikatów TLS:

  1. Firefox pobiera certyfikat odwiedzanej witryny.
  2. Sprawdza certyfikat w swojej wewnętrznej bazie danych zaufanych głównych urzędów certyfikacji (CA).
    • Wykorzystuje klucz publiczny certyfikatu głównego urzędu certyfikacji, aby upewnić się, że certyfikat główny i certyfikat pośredni zostały prawidłowo podpisane w łańcuchu w stosunku do certyfikatu serwera TLS dostarczonego przez witrynę internetową.
  3. Sprawdza informacje zawarte w certyfikacie, aby upewnić się, że witryna, z którą się łączysz, odpowiada witrynie wymienionej w certyfikacie.
  4. Generuje symetryczny (pojedynczy) klucz do szyfrowania ruchu HTTP dla połączenia.
  5. Szyfruje klucz symetryczny kluczem publicznym serwera, który znajduje się w certyfikacie serwera.
  6. Klucz prywatny znajdujący się na serwerze internetowym odszyfrowuje niezbędne dane połączenia, aby zakończyć tak zwane uzgadnianie TLS (ang. TLS handshake).

Może wówczas nastąpić bezpieczna komunikacja pomiędzy Firefoksem a witryną.

Wyświetlanie certyfikatu

Aby zobaczyć certyfikat należy:

  1. Kliknąć ikonę Fx89Padlock kłódki znajdującą się w pasku adresu.
  2. W wyświetlonym menu Informacje o… kliknąć Zabezpieczone połączenie.
    Fx134SiteInfo-ConnectionSecure
  3. W kolejnym wyświetlonym menu kliknąć Więcej informacji
    Fx134SiteInfo-MoreInfo
  4. W wyświetlonym oknie kliknąć przycisk Wyświetl certyfikat
    Fx134SiteInfo-ViewCert

Zostanie wyświetlona strona zawierająca informacje o certyfikacie aktualnie przeglądanej witryny.

Na stronie widoczne są trzy karty, w których kolejno wyświetlane są: certyfikat serwera TLS, certyfikat pośredni i certyfikat główny.

Zawartość certyfikatu

Certyfikaty serwera TLS zawierają następujące informacje:

  • Nazwa podmiotu – zawiera nazwę witryny internetowej i opcjonalne atrybuty, takie jak informacje o organizacji będącej właścicielem certyfikatu.
  • Nazwa wystawcy – identyfikuje podmiot CA, który wydał certyfikat.
  • Ważność – pokazuje, jak długo certyfikat jest ważny.
  • Alternatywne nazwy podmiotu – wyświetla adresy witryn internetowych, dla których certyfikat jest ważny.
  • Informacje o kluczu publicznym – wyświetla listę atrybutów klucza publicznego certyfikatu.
  • Numer seryjny – unikalny identyfikator certyfikatu.
  • Algorytm sygnatury certyfikatu – Algorytm używany do stworzenia sygnatury.
  • Odciski – hash (cyfrowy „odcisk palca” pliku komputerowego) pliku certyfikatu w DER formacie binarnym.
  • Zastosowania klucza i Rozszerzone zastosowania klucza – określa, w jaki sposób użytkownicy mogą korzystać z certyfikatu, na przykład w celu potwierdzenia własności witryny internetowej (uwierzytelnianie serwera sieci Web).
  • Identyfikator klucza podmiotu – identyfikator wygenerowany na podstawie klucza publicznego certyfikatu TLS w celu identyfikacji certyfikatu.
  • Identyfikator klucza organu – identyfikator generowany z klucza publicznego certyfikatu CA, służący do identyfikacji klucza publicznego odpowiadającego kluczowi prywatnemu użytemu do podpisania certyfikatu.
  • Punkty końcowe CRL – lokalizacje Certificate Revocation List (CRL) wystawiającego urzędu certyfikacji CA.
  • Informacje o organie (AIA) – zawiera metodę sprawdzania poprawności dla urzędu certyfikacji i pośredniego pliku certyfikatu.
  • Zasady certyfikatu – zawiera wskazówki dotyczące typu certyfikatu TLS np. informacje zweryfikowane w momencie wystawienia certyfikatu.
  • Osadzone SCT – zawiera listę Signed Certificate Timestamps (SCT).

Problematyczne certyfikaty

Jeśli użytkownik odwiedza witrynę, której adres zaczyna się od httpsi wykrywany jest problem z certyfikatem TLS, przeglądarka wyświetli stronę błędu. Często spotykane błędy certyfikatów opisano w artykule: Co oznacza komunikat "Połączenie nie jest bezpieczne"?.

Aby wyświetlić problematyczny certyfikat:

  1. Na stronie z ostrzeżeniem Połączenie nie jest bezpieczne, kliknij przycisk Zaawansowane….
    Fx134SecurityWarning
  2. Kliknij Wyświetl certyfikat.
    Fx134SecurityWarning-ViewCert

Zostanie wyświetlony zły certyfikat.

Osoby, które pomogły w tworzeniu tego artykułu:

Illustration of hands

Pomóż nam

Zdobywaj wiedzę i dziel się nią z innymi. Odpowiadaj na pytania i ulepsz naszą bazę wiedzy.

Więcej informacji